DNS-Resolver – AdGuard DNS, Control D, NextDNS und Rethink DNS im Vergleichstest

Wir haben kürzlich die vier bekanntesten DNS-Resolver für euch getestet und stellen sie ausführlich mit allen Vor- und Nachteilen vor.

Inhalt

• Adguard DNS lässt sich individuell konfigurieren
• DNS-Resolver: Wie funktioniert ein Adblock auf DNS-Ebene?
• ud83dudee1ufe0f AdGuard DNS - Was macht diesen Dienst besonders?
• AdGuard DNS im Praxistest: Wenig Mankos, aber viele Vorteile
• Fazit: AdGuard DNS ist absolut empfehlenswert!
• NextDNS
• Control D
• 30-tägige Testversion statt 300.000 Abfragen monatlich für lau!
• Rethink DNS
• Weitere interessante Artikel zum Thema Datenschutz:
• Fazit: Welcher DNS-Resolver soll es denn jetzt sein?
• Anhang: So aktiviert ihr DNS over HTTPS (DoH) in Windows

In unserer Artikelserie über Werbeblocker haben wir vor etwa zwei Wochen darüber gesprochen, welche es gibt und wie man sie einrichten kann. Zur Sprache kamen dabei allerdings nur Optionen, die ausnahmslos auf einer externen Hardware außerhalb des eigenen PCs laufen. Doch nicht jeder kann oder möchte sich dafür extra einen Raspberry Pi* oder MiniPC* kaufen, um diese Softwarelösung selbst zu hosten. Was wir bisher getestet haben, ist hardwarebasiert und somit vor allem eine Frage des Aufwands. Und das sowohl bei der Einrichtung als auch beim Betrieb. DNS-Resolver wie AdGuard DNS, Control D, NextDNS und Rethink DNS gibt es aber auch noch. Dafür muss man keinen zusätzlichen Computer* anschaffen. Wir haben uns kürzlich vier webbasierte DNS-Dienste in Ruhe angesehen.

Adguard DNS lässt sich individuell konfigurieren

Welche Möglichkeiten gibt es denn noch für die alternative DNS-Nutzung, außer ein Browser Plug-in oder die vorgefertigte und somit unflexible DNS-Lösung zu nutzen, die man in der Konfiguration des Browsers einträgt? Ganz einfach: die Technik Adblock auf DNS-Ebene! Diese kann man an die eigenen Bedürfnisse ganz individuell anpassen. Wir stellen euch heute die vier bekanntesten Dienste vor und erläutern jeweils ihre Vor- und Nachteile.

Natürlich kann man alle hier vorgestellten Dienste auch mit der kostenlosen Lösung AdGuard Home nutzen, siehe unser Artikel dazu. Der Einsatz der Software Pi-Hole (hier unsere Anleitung + Test) fällt für uns hingegen weg. Pi-Hole unterstützt das Protokoll DNS over QUIC (DoQ) nicht. Allerdings ist DoQ das derzeit sicherste DNS-Protokoll mit vielen Vorteilen. Deshalb gehen wir in diesem Beitrag auf den Einsatz von Pi-Hole als DNS-Weiterleitungsdienst nicht weiter ein.

DNS-Resolver: Wie funktioniert ein Adblock auf DNS-Ebene?

Bei einem Werbeblocker auf DNS-Ebene spielt ein rekursiver (selbstaufrufender) Domain-Auflöser die Hauptrolle. Dieser verhindert als erwünschte Nebenwirkung auch die Anzeige der meisten Werbeanzeigen. Die Abkürzung DNS steht für Domain Name System und ist wie ein „Telefonbuch“ für das Internet. Dort müssen alle Einträge über die bestehenden Domains eingetragen sein.

Das DNS übersetzt den Domainnamen wie z. B. tarnkappe.info in eine IP-Adresse wie 34.120.87.59, die dein Computer versteht. Normalerweise stellt euch euer Internetanbieter (ISP) automatisch einen eigenen DNS-Dienst zur Verfügung, damit man sich problemlos im Internet bewegen kann. Stellt sich nur die Frage, ob man möchte, dass mein eigener ISP weiß, wo ich mich überall im Internet herumtreibe, zumal das Unternehmen als Vertragspartner meine echte Anschrift kennt. Wahrscheinlich ist dies nicht der Fall, oder?

🛡️ AdGuard DNS – Was macht diesen Dienst besonders?

Antwort: Ganz einfach, es sind die vielen Funktionen, die einem dabei zur Verfügung stehen. Außerdem nutzt der Dienst Datacamp für sein Hosting der DNS-Server mit einem deutschen Standort. Dadurch läuft alles sehr schnell und ist natürlich auch konform mit der Datenschutzgrundverordnung der EU, der DSGVO!

🔧 Funktionen:

• AdGuard DNS bietet eine Werbeblockade auf DNS-Ebene (ähnlich wie die Software Pi-hole oder eBlocker)
• Tracking-Schutz
• Phishing- als auch Malware-Schutz
• wenn gewünscht: der Jugendschutzfilter DNS Safe Search
• wichtig: die Protokolle DNS-over-HTTPS (DoH) DNS-over-TLS (DoT) DNS-over-QUIC (DOQ) für komplett verschlüsselte DNS-Abfragen!

AdGuard DNS im Praxistest: Wenig Mankos, aber viele Vorteile

Leider sind nur Adblock-Listen (siehe Screenshot oben) vorhanden, die dem Standard entsprechen und welche man sowieso verwenden sollte. Einigen IT-Nerds wird die Blockliste wegen der fehlenden Tiefe und Spezifikation wahrscheinlich nicht vom Hocker reißen. Den Nutzern bietet man zudem im Backend sehr viele Statistiken an, doch brauchen Heimanwender das wirklich? Eigentlich ist das zu viel des Guten. Doch das ist eher nebensächlich.

Dafür bietet die Web-Applikation eine gute Übersicht und klare Struktur. Auch Anfänger werden sich hier schnell zurechtfinden. Kosten entstehen, wie gesagt, erst bei über 300.000 DNS-Abfragen pro Monat, was marktüblich ist.

Wenn es ein sicherer DNS Server sein soll, kann man ihn wahlweise als DoH, DOT oder DOQ encrypted DNS eintragen. So kann der ISP die Anfragen nicht sehen. Auch jegliche von den Rechteinhabern beantragten Netzsperren von illegalen Streaming- und Warez-Seiten, die die CUII geprüft & abgesegnet hat, laufen damit ins Leere.

AdGuard lief im Test fix und geradezu geräuschlos

Während unserer Tests lief alles sehr schnell und stabil. Wir konnten keine Beeinträchtigung des Surfverhaltens bei Nutzung von AdGuard feststellen. Auf der Übersichtsseite sind wir aber auf der Suche nach den Pingzeiten der DNS-Resolver irgendwie nicht fündig geworden.

Sehr bequem: Es gibt die Möglichkeit, komplette Dienste, wie das Playstation Network (PSN), Tiktok & Co. gleich mittels AdGuard DNS zu sperren. Die eingebaute Kinderschutz-Funktion bietet den Eltern einen Zeitplan an. Damit bringt man die Zöglinge dazu, sich erst um die Hausaufgaben zu kümmern, bevor sie online gehen können. Das geht natürlich auch mit dem WLAN-Router, wo man einzelnen Geräten im Netzwerk stundenweise den Zugang zum Internet verweigern kann.

Fazit: AdGuard DNS ist absolut empfehlenswert!

Auch der Leaktest zeigt, dass AdGuard DNS den Status korrekt anzeigt und der DNS wie erwartet aufgelöst wird. Fazit: Wir haben wirklich nichts zu meckern! Alles in allem ist es die simple Bedienung, die punktet! Wirklich alles hat man bewusst übersichtlich gehalten. Auch das Preis-Leistungs-Verhältnis ist super. Von uns kommt daher eine klare Kaufempfehlung!*

NextDNS

Der Online-Dienst NextDNS nutzt das Misaka Network als Hoster und als Content Delivery Network-Anbieter (CDN) für das Auflösen der DNS. Auch hier ist der Serverstandort in Deutschland, vom DNS aus geht die schnelle Verbindung ins CDN von Misaka Network Inc.

NextDNS bietet mehr Blocklisten als Adguard DNS. Hier bietet man auch dem internationalen Publikum etwas an. So gibt es beispielsweise Listen für China, Vietnam etc., die man sonst vergebens sucht.

Pluspunkt: Eine Anleitung zum Einrichten, die absolut jeder versteht. Das Handbuch geht mit den Nutzern Schritt für Schritt alles durch, bis man sich seine Liste individuell ausgewählt hat.

Zusätzlich funktionieren auch Amazons Alexa-Geräte*, die eigentlich darauf bestehen, ihre Logs zu verschicken. Doch das wird erfolgreich geblockt. Die Kontrolle mit der Stimme (Voice Control) läuft trotz NextDNS tadellos. Richtig gut: Auch bei Xioami TVs*, werden einfach nicht benötigte Anfragen strikt blockiert ohne die Funktion der Fernseher zu beeinträchtigen. Nein, liebe Smart TVs, nach Hause „telefonieren“ ist bei diesem DNS-Resolver nicht drin!

Ja, die Listen von NextDNS kann man auch bei Github finden. Aber warum danach suchen, wenn man alles mit einem Klick im Backend haben kann? NextDNS bietet auch die Option, alle Dienste wie PSN, TikTok & Co. gleich mit dem DNS zu sperren.

Eingebaute Kinderschutz-Option mit der Möglichkeit, einen Zeitplan zum Freigeben des Netzzuganges oder das Sperren von Spiele-Services ist vorhanden. Die Funktionalität ist vergleichbar mit Adguard DNS. Das funktioniert somit sehr gut.

Monatliches Limit für die kostenlose Version liegt bei marktüblichen 300.000 DNS-Anfragen. Erst ab DNS-Umleitung Nummer 300.001 muss man bezahlen. Am 01. des Folgemonats wird die Anzahl wieder auf Null gestellt. Rein theoretisch kann man das mithilfe der individuellen Vergabe der Geräte-Identifikationen umgehen.

Voraussetzung dafür ist der Eintrag in AdGuard Home als QUIC-DNS, DOH-DNS etc. als DNS-Resolver. Doch warum sollte man sich bei dem geringen Preis so viel Aufwand antun, zum einen die Macher nicht zu tief in die Tasche greifen lassen?

Control D

Leider ist sowohl das Backend als auch die Website von Control D in Englisch. Oben drauf gibt es bei diesem DNS-Resolver eine mehr oder weniger erzwungene Ersteinrichtung. Super, wenn man sich auskennt. Doch nicht jeder weiß, wie man einen Endpoint einrichtet. Serverstandort ist auch Deutschland über das CDN von NetActuate.

Feinschliff bei den Blocklisten nicht möglich

Control D hat eigene gepflegte Listen, die nur nach Rubriken sortiert sind. Das ist eine feine Sache, für eine schnelle Einrichtung. Aber da man nicht weiß, was jeweils an Einträgen in den Listen drin ist, kann man sich wahrlich nicht mit einem guten Gefühl entscheiden. Ein paar zusätzliche Informationen hätten an diesem Punkt sicher nicht geschadet! Die Freaks unter den Datenschützern werden hier sicher einige Optionen vermissen, was die Beurteilung trübt. Anfänger und weniger Anspruchsvolle kommen hingegen voll auf ihre Kosten!

Zum Glück versteckt sich hinter der Voreinstellung des „native“ Reiters noch die Option „3rd Party“. Dort kann man immerhin etablierte Adblocklisten wie Adguard DNS Filter oder die hagezi Blocklists etc. aktivieren. Das ist gut so, das hätte man aber noch besser lösen können.

Control D: Aktivitätsanzeige nützlich, doch sie funktioniert leider nicht immer

Ein nettes Feature ist die Tatsache, dass man auf der Seite direkt sehen kann, ob der DNS aktiv ist oder nicht. Sichtbar sind auch die entsprechenden Ping-Zeiten. Leider klappt das nicht immer. Bei unseren Tests zeigt das Backend nichts an, wenn man den DNS von AdGuard Home oder beispielsweise den Technitium DNS Server eingetragen hat. Schade, die Aktivitätsanzeige ist ansonsten echt nützlich.

Direkt in Firefox eingetragen bei der Konfiguration von „Datenschutz und Sicherheit“ und dann „Schutz über https“, funktioniert auch die Erkennung richtig, als DOH-Eintrag bei erweitertem Schutz. In der Vergangenheit kam es zu Problemen, weil der DNS-Resolver manchmal einfach nicht antworten wollte. Doch jetzt, kurz vor Veröffentlichung des Artikels, hat man die Problematik offenbar beheben können.

30-tägige Testversion statt 300.000 Abfragen monatlich für lau!

Leider gibt es bei Control D nur eine „30 Days Free Trial“ Version“ zum Testen. Danach ist der Online-Dienst grundsätzlich kostenpflichtig, egal wie viele Abfragen man über den DNS-Resolver erzeugt. In dem Punkt geht der Anbieter schlichtweg einen anderen Weg als die Konkurrenz. Ist der Testzeitraum herum, funktioniert Control D nicht mehr. Das ist schade. Jeder muss sich dann selbst die Frage stellen, wie viele Abfragen monatlich erzeugt werden und wie viel einem die Wahrung der eigenen Privatsphäre wert ist. Der Preis des Abos ist dann sogar noch abhängig vom Umfang der Kontrolle, die man damit erwirbt. Kontrolljunkies bezahlen 40 Euro jährlich, die andere Fraktion nur die Hälfte.

Rethink DNS

Bei Rethink DNS ist man beim Aufruf der Webseite nach Betätigen von „try for free“ erst einmal überwältigt von den ganzen Einstellmöglichkeiten. Man kann bei „erweitert“ aus Dutzenden Listen auswählen, was man haben möchte und was nicht.

Ich habe beim Test mindestens eine Stunde damit verbracht, die Standardlisten, die zum Beispiel bei Adguard Home hinterlegt sind, herauszusuchen und mit meiner Meinung nach sinnvollen anderen Listen zu ergänzen. Ganz ehrlich, man ist von so viel Vielfalt einfach überwältigt! Ich kann aber guten Gewissens sagen, der simple Weg ohne zusätzliche Listen ist in den meisten Fällen schon ausreichend. Es sind nicht nur viele Listen, sie sind auch auf dem aktuellsten Stand.

Rethink DNS ist komplett umsonst

Pluspunkt: Rethink-DNS ist komplett gratis! Dafür gibt es den Webdienst nur als DoH oder DoT. Das heißt, das neue und bessere DoQ fällt damit weg. Aber gut, irgendwas ist ja immer. Auch klasse: Es sind neben der Masse an Listen auch extrem viele Konfigurationsmöglichkeiten vorhanden. Wer will, kann bei den Einstellungen Stunden über Stunden verbraten.

Obwohl Rethink DNS als Open-Source-Projekt entwickelt wird, was zumindest eine gewisse Transparenz ermöglicht, gibt es keine Hinweise auf ein unabhängiges Audit ihrer Datenschutzpraktiken. Eine Überprüfung durch eine anerkannte externe Stelle wäre aber überaus sinnvoll. Nur so könnte man sicherstellen, was sie de facto mit den ganzen anfallenden Daten tun! Man muss nicht paranoid sein, um zu wissen, dass man in der Datenschutzerklärung viel erzählen kann. Wenn etwas umsonst ist, zahlt man online in der Regel mit der Abgabe der eigenen Daten, die dann analysiert und im worst case weiterverkauft werden.

Uns war kein Test auf Basis von macOS möglich

Die Adblock DNS Konfiguration können Apple-Nutzer mit einem Mausklick herunterladen, wie wir erfuhren. Schneller und einfacher als so geht es nicht mehr. Die individuell erstellte DNS-Adresse mit den Blockade-Möglichkeiten kann einfach genutzt oder in AdGuard Home kopiert, oder auch wie bei den anderen getesteten Anbietern, auch als privates DNS fürs Android Smartphone eingesetzt werden.

Wir hatten leider keine Testmöglichkeit mangels macOS bei Apple-Devices. Der Serverstandort ist aber auf jeden Fall auch Deutschland. Das CDN und der DNS-Resolver stammen von Cloudflare. Allerdings sind natürlich gleich mehrere Resolver IPs im Einsatz, wie es bei Cloudflare üblich ist.

Rethink DNS selber hosten ist entweder teuer oder offenbar nicht so einfach

Selfhosting ist mit Rethink DNS auch möglich, aber fastly ist mit knapp 15 Euro für eine halbwegs potente VM dafür sehr teuer. In dem Fall passt das Verhältnis zwischen den Kosten und dem Nutzen einfach nicht mehr. Glücklicherweise konnten wir in der Online-Anleitung noch andere Selfhosting-Anbieter entdecken.

Android App sinnvoll aber nicht zwingend erforderlich

Die App zum Einrichten von Rethink Adblock DNS+ Firewall nehmen wir uns gerne bei genug Feedback vor. Die App ist aber Android only, iOS User schauen in die Röhre! Immerhin kann die mobile Version den Rethink DNS um sinnvolle Firewall-Features erweitern. Die App ist optional, für die Konfiguration des DNS-Resolvers und für das Unterdrücken der Werbung benötigt man kein Android Smartphone, das geht alles auf der Webseite des Anbieters im Benutzerbereich.

Es reicht aber, um zu Hause ein so gut wie komplett Ad-freies Leben zu haben, die von Rethink DNS generierte IP in den Netzwerkeinstellungen eures Routers oder Browsers zu hinterlegen. Das gleiche gilt selbstverständlich auch für Adguard DNS, NextDNS und Control D.

Weitere interessante Artikel zum Thema Datenschutz:

• Datenleck bei Merkur Online-Casinos: Spieler können mehr als nur viel Geld verlieren
• Selbstauskunft bei Geheimdiensten: Frag den Dienst wird eingestellt
• Kununu Bewertung löschen: Gmail muss Nutzerdaten preisgeben
• Signal-Gate-Skandal: Daten von US-Ministern online zugänglich
• Datenschmutz.de sorgt für Chancengleichheit der Bürger

Fazit: Welcher DNS-Resolver soll es denn jetzt sein?

AdGuard DNS – Ich persönlich würde, wenn ich mich entscheiden müsste, diesen DNS-Anbieter abonnieren, weil sie für mich das ansprechendste Angebot haben. Das besteht aus aktuellen Listen und einer sauber strukturierten Oberfläche. Last, but not least würde ich damit das komplett kostenlose Adguard Home unterstützen. Hier buchen!*

NextDNS ist ein wenig wie Schrödingers Katze. Wären die Listen aktueller, wäre es wirklich attraktiv. Aber es herrscht Stillstand. Man weiß nicht, ob es tot oder lebendig ist – aber dafür funktioniert es super.

Control D ist mir einfach zu dreist, gleich Geld sehen zu wollen. Dabei bieten sie ihren Dienst am teuersten mit 4 Euro im Monat an. Da nehme ich lieber einen Raspi Zero 2 W* mit dem kostenlosen AdGuard Home und ergänzend einen QUIC DNS von einem der oben genannten in der kostenlosen Version on Top von Control D. 512 MB RAM plus Auslagerung reichen auch für große Listen. Dabei hätte ich das Geld für das Abo bereits nach sechs Monaten wieder drin.

Rethink DNS ist komplett kostenlos, läuft aber komplett über Cloudflare, was mir sehr sauer aufstößt. Man kann es „serverless“ selbst hosten, aber die Preise wie bei fastly sprengen jeden Rahmen für einen günstigen und stabil laufenden Virtual Private Server (VPS). Keine Frage, Rethink DNS ist ein tolles Projekt und funktioniert stabil und zuverlässig. Es ist aber in der „erweiterten“ Anzeige etwas zu heftig unterwegs mit zu vielen Listen ohne genaue Beschreibung.

Anhang: So aktiviert ihr DNS over HTTPS (DoH) in Windows

1. Einstellungen öffnen
   • Drücke Win + I → gehe zu Netzwerk und Internet
2. Netzwerk auswählen
   • Wähle „Ethernet“ oder „WLAN“ (je nachdem, was du nutzt)
   • Klicke auf deine aktive Verbindung
3. DNS-Einstellungen bearbeiten
   • Scrolle zu DNS-Serverzuweisung → klicke auf Bearbeiten
4. Manuell umstellen & DoH aktivieren
   • Wähle Manuell aus
   • Aktiviere IPv4 (oder IPv6, wenn du es nutzt)
   • Trage DNS-Server ein, die DoH unterstützen, z. B.:
   • https://dns.adguard-dns.com/dns-query

Et voilà, schon hat man einen individuell eingerichteten und verschlüsselten Adblocker über HTTPS. Leider ist die Einrichtung von DoQ nur mittels YogaDNS bzw. AdGuard Home möglich, obwohl das Protokoll sicherer und zeitgemäßer ist.

Das war der vierte Teil unser Artikelserie zum Thema Werbeblocker mittels DNS. In ein paar Wochen erscheint mit dem fünften Teil das Finale!

Bleib auf dem Laufenden!

📢  Nutze unseren News-Feed auf Discord, Signal oder den RSS-Feed, um keine News, Tests oder sonstige Updates zu den Themenbereichen Copyright, Datenschutz, IT Sicherheit und Netzpolitik zu verpassen.

(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.